¿Es una lista negra de direcciones IP una buena práctica para evitar ataques a sitios web?

Navega tus respuestas
11

Mi sitio web tiene una lista negra de direcciones IP. La aplicación web, de alguna manera, detecta todas las influencias sospechosas, no válidas, recuerda la dirección IP y niega cualquier solicitud de esa dirección IP.

Entonces, mi pregunta es: ¿es una buena práctica, una forma de evitar ataques de esta manera?

RESUMEN (AÑADIDO):

Quiero resumir todas las respuestas, como sea posible:

  • lista blanca (ubicaciones de confianza)
  • lista gris (lista de alta atención)
  • bloqueo temporal
  • detección de dirección dinámica y estática
  • detección inteligente y flexible
pregunta garik 11.11.2010 - 23:56
fuente

7 respuestas

8

Yo diría que no se moleste demasiado en la inclusión en la lista negra de IP:

  • Hay demasiados falsos positivos, ya que hay muchas situaciones de IP compartidas: proxies, lugares de trabajo, ISP que utilizan DHCP itinerante, etc.
  • Es muy fácil evitarlo. Un tipo realmente malo solo tendrá una IP diferente, si realmente quiere atacarte.

Sugeriría una "lista gris" de direcciones IP, es decir, si reconoce el mal tráfico, "vigile" esas direcciones.

    
respondido por el AviD 12.11.2010 - 00:06
fuente
5

Una lista negra de IP puede ayudar, pero no confíe en ella como su único medio de seguridad.

También querrás tener mucho cuidado al prohibir los bloques de IP o los robots de los motores de búsqueda. Es posible que también desee mantener una lista blanca de IP que sean falsos positivos por sus influencias sospechosas.

    
respondido por el VirtuosiMedia 12.11.2010 - 00:04
fuente
3

Mientras las influencias sospechosas no sean demasiado estrictas. No quieres bloquear a un buen usuario.

    
respondido por el James T 12.11.2010 - 00:00
fuente
2

En principio puede ser bueno.

Sin embargo, depende de cuánto tiempo bloquees las direcciones IP. También debe tener en cuenta que algunos usuarios, como los que usan AOL, si recuerdo que llegan a través de servidores proxy, muchos usuarios compartirán la misma dirección IP y, como resultado, podrían bloquear a mucha gente. Otra consideración es que Office, Universidades, etc. también pueden tener muchas computadoras que comparten la misma IP y esa es otra gran variedad de personas a las que podría terminar bloqueando las acciones de un usuario.

Tal vez podría bloquear, ya sea por un corto período de tiempo, o mediante una combinación de agente de usuario y dirección IP para limitar el efecto de los bloques.

    
respondido por el Mark Davidson 12.11.2010 - 00:03
fuente
2

Depende. Si su aplicación es un servidor SMTP, podría asumir con seguridad que todo el tráfico entrante debería provenir de IP estáticas, es decir, si el mensaje proviene de IP dinámica, es probable que sea un correo no deseado o un virus enviado desde algún tipo de botnet. En tal caso, es realmente una buena idea evitar que se conecten y creo que es una buena práctica.

    
respondido por el Paweł Dyda 12.11.2010 - 00:04
fuente
1

En general, diría que sí, puede ser un control bastante efectivo. Un problema que podría obtener es que los usuarios lleguen a través de un proxy, que puede parecer provenir de una sola dirección IP, ya que el bloqueo podría bloquearlos a todos. A veces puede usar el encabezado X-Forwarded-For para diferenciar las solicitudes de una dirección IP de origen, pero eso es no está presente necesariamente en todas las solicitudes de proxy.

    
respondido por el Rоry McCune 12.11.2010 - 00:03
fuente
1

Tenga cuidado con las configuraciones del servidor donde, por ejemplo, en Rackspace, _SERVER [REMOTE_IP], que suele ser la dirección IP de los usuarios, es en realidad un servidor proxy con carga.

Sin embargo, el encabezado REMOTE_IP es realmente el único encabezado no suplantable en términos de la ip real del usuario.

HTTP_X_CLUSTER_CLIENT_IP y HTTP_X_FORWARDED_FOR (por nombrar algunos), por ejemplo, pueden ser falsificados por un atacante / sistema de ataque.

Muchos de los complementos de seguridad de los complementos de CMS He examinado ese intento de filtrar entradas utilizando un enfoque en cascada de encabezados potenciales y luego prohibir la dirección IP de solicitudes incorrectas, tienden a apilar la mayoría de los clientes comunes o proxy enviados encabezados, el Como REMOTE_ADDR es el último en la lista, esto es trivial para un atacante, por lo que, en efecto, toda la aplicación se vuelve sin sentido, ya que potencialmente se puede enviar una nueva dirección IP de cliente con cada solicitud fraudulenta.

Prohibir la dirección IP incorrecta en una configuración en clúster puede hacer que su sitio web sea prohibido, y permitir que las direcciones IP falsificadas sean prohibidas puede permitir que un atacante envíe una IP falsa del servidor web o un proxy de línea ascendente al servidor web, lo que resulta en la mismo efecto.

O donde se usan las IP de la lista blanca, el atacante también podría enviar las solicitudes falsas con la IP de la lista blanca.

El mejor método que he encontrado en estas situaciones es: Donde hay otros encabezados que no sean el REMOTE_IP, la regla número uno siempre es filtrarlos para asegurarse de que esos encabezados contengan realmente una dirección IP, entonces sí, use esos para determinar la dirección IP de los usuarios, sin embargo, deshabilite la prohibición de ip (si se está empleando ) en ese caso, y solo vaya con un encabezado 403 y una llamada a die page () para bloquear una solicitud fraudulenta real en lugar de prohibir realmente la dirección IP.

Después de todo, es la solicitud deshonesta que desea evitar completar más que cualquier otra cosa. Prohibir las direcciones IP es más un problema cuando un atacante está atacando su sitio a través de múltiples servidores proxy anónimos para crear una denegación de servicio.

    
respondido por el Taipo 04.02.2012 - 22:57
fuente

Lea otras preguntas en las etiquetas

¿Qué es el sandboxing? Comprobación de revocación del certificado SSL